+7 (495) 332-37-90Москва и область +7 (812) 449-45-96 Доб. 640Санкт-Петербург и область

Провести проверку перональных данных

Провести проверку перональных данных

Операторов обработки персональных данных начнут проверять по новым правилам Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться? Правительством РФ были приняты1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных далее — Правила. Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных. Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Содержание:

Операторов обработки персональных данных начнут проверять по новым правилам

Наше основное направление — информационная безопасность она же — ИБ. В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем.

Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс англ. И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных. Чего там нового в законодательстве? По теме проверок по защите персональных данных было написано немало статей и многие из них вышли раньше года.

Чтобы как-то въехать в настоящие реалии, в первую очередь необходимо проанализировать, что же поменялось за последние годы в законодательстве. В году он наделал много шуму в связи с необходимостью локализации персональных данных граждан РФ на территории РФ. Спустя четыре года единственным крупным пострадавшим от этого закона является социальная сеть Linkedin.

Что это значит? Для операторов персональных данных, как можно догадаться, — ничего хорошего. Теперь, как уже показала практика, — сильно уменьшилось количество плановых проверок и соразмерно увеличилось количество внеплановых. Об этом говорят и планы проверок Роскомнадзора, опубликованные в конце года и в последующих годах на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов.

Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом и, как следствие, — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И врасплох можно было застать только те немногие организации, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных совсем ничего не делалось.

Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.

Эти изменения полностью преобразовали наказание за нарушение законодательства в сфере защиты персональных данных. Ранее статья Сейчас же здесь имеется 7 частей да еще и планируется расширение , по одной из которых нарушение правил обработки специальных категорий персональных данных предусмотрен максимальный штраф для юридических лиц — 75 рублей.

К тому же, при выявлении проверяющими разных нарушений — наказания по разным частям статьи КоАП теоретически могут складываться.

Можно было собрать такие новости в кучу за год и подбить некоторую статистику по штрафам. Сейчас же таких новостей нет. Если у кого-то имеются данные по штрафам за нарушение ФЗ после изменений в Здесь стоит сразу отметить, что в первоначальном тексте законопроекта по изменению статьи Солидно, но до сумм за нарушение GDPR все равно далеко.

Будьте бдительны. Итак, мы убедились, что возросшая вероятность внеплановой проверки и многократно возросшие штрафы за нарушение ФЗ неплохо так стимулируют быть готовыми к проверке в любой момент. Давайте же разбираться, что нам нужно для этого сделать. Виды проверок Прежде чем мы перейдем к непосредственным шагам по подготовке к проверкам, давайте посмотрим, какие виды проверок бывают и как проходит типичная проверка. В целом, проверки можно разделить на 2 вида: документарные и выездные.

Документарные проверки Документарная проверка чаще всего начинается с того, что в организацию приходит письмо из местного управления РКН с каким-либо требованием. Если в вашей организации, например, не подавали уведомление о её внесении в реестр операторов персональных данных, то вам могут напомнить, о том, что неплохо бы это уведомление все-таки подать.

Закон ведь требует. Или обосновать, почему ваша организация может обрабатывать персональные данные без уведомления в ФЗ предусмотрен ряд исключений. Если уведомление ваша организация всё же подавала, то вам могут напомнить о том, что в реестре время от времени появляются новые поля и их тоже необходимо заполнять. Например, необходимо указать местонахождение ЦОДа и то, является ли он арендуемым или собственным. О заполнении уведомления Практика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления.

О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную. Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все. Итак, вы получили такое письмо от Роскомнадзора, что делать? На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма.

К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах.

Нет, не забудут, не в этом случае. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье В году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до организаций.

Штраф по Скриншот сайта Управления Роскомнадзора по Приморскому краю, год Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет. Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным. Выездные проверки Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории.

Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки. Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в годах.

Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения.

Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование. Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки.

Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн.

Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. И это перечеркивает все словесные неправомерные замечания проверяющих. В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки.

Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников. Уведомление оператора персональных данных Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления.

А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций: уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством; уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта; персональные данные обрабатываются только в неавтоматизированном режиме то есть без использования средств вычислительной техники.

Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк.

И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор. Как проверить наличие уведомления в реестре и что делать дальше Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных.

Здесь легко можно найти запись в реестре по названию или ИНН организации. Дальше ваши действия должны выглядеть примерно следующим образом. Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем. Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление.

Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра.

Ждем 30 дней. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо. Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей. Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть.

Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн.

Причин такому несоответствию может быть много, но вот две основные: уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных; уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Акт проверки Проверки операторов персональных данных в году Постановлением Правительства РФ от Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов. Конечной целью проверочных мероприятий РКН, в соответствии с п.

Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам. Если вы собираете номера телефонов друзей, закон вас не касается.

База знаний

Общие положения 1. Настоящие Правила устанавливают порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами персональных данных далее - государственный контроль и надзор. Действие настоящих Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона "О персональных данных". Государственный контроль и надзор осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами далее - орган по контролю и надзору. Государственный контроль и надзор включает в себя деятельность органа по контролю и надзору, направленную на предупреждение, выявление и пресечение нарушения операторами персональных данных далее - операторы требований Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов далее - требования посредством: а организации и проведения плановых и внеплановых проверок; б принятия мер по пресечению и или устранению последствий выявленных нарушений; в проведения мероприятий по контролю без взаимодействия с операторами; г проведения мероприятий по профилактике нарушений. Организация и проведение проверки осуществляются должностными лицами органа по контролю и надзору, должностными регламентами которых предусмотрены полномочия по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям далее - должностные лица. Организация плановых проверок 5.

РКН начинает проверку работодателей по защите персональных данных. Как подготовиться

Наше основное направление — информационная безопасность она же — ИБ. В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы. В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс англ.

Плановые проверки проводятся на основании ежегодного плана деятельности Управления далее - План деятельности , размещаемого на текущий календарный год. Государственный контроль и надзор включает в себя деятельность органа по контролю и надзору, направленную на предупреждение, выявление и пресечение нарушения операторами персональных данных далее - операторы требований Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов посредством: а организации и проведения плановых и внеплановых проверок; б принятия мер по пресечению и или устранению последствий выявленных нарушений; в проведения мероприятий по контролю без взаимодействия с операторами; г проведения мероприятий по профилактике нарушений.

Как подготовиться к проверке? Как пройти проверку с наименьшими потерями? Такие вопросы возникают перед руководителями службы безопасности служб информационной безопасности , когда они узнают о предстоящей проверке. В данной статье речь пойдет о том, как самостоятельно успешно пройти проверку регуляторов, не прибегая к помощи сторонних организаций. Попова Кто такие регуляторы и что они проверяют? Основных контрольно-надзорных органов, уполномоченных проводить проверки в части соблюдения законодательства о персональных данных т. Кто из них что проверяет? Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, на него возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона "О персональных данных". По сути — проверка организационных мер защиты персональных данных.

Новые правила проверок Роскомнадзора в области персональных данных

Новые правила проверок Роскомнадзора в области персональных данных Ранее порядок проведения проверок регулировался Административным регламентом г. Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.

Контроль за соблюдением требований исполняет Роскомнадзор путем проведения проверок и мероприятий систематического наблюдения. Как показывает практика, в большинстве организаций работы по защите персональных данных либо не проводились совсем, либо проводились силами сотрудников, не обладающих достаточными знаниями и опытом в данном вопросе, а руководство плохо проинформировано о требованиях законодательства.

.

персональных данных. Такие проверки будет проводить Роскомнадзор. Уже готов и вступил в силу регламент данных ревизий.

Проверки по защите персональных данных: как проходят и можно ли оспорить

.

Проверки Роскомнадзора по защите персональных данных

.

.

.

.

.

Комментарии 2
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий

  1. enerusis

    Здравствуйте, если чесно, то я верю тому что у нас могут вести этот налог, потому что для Украины нет ничего невозможного, если правительство захочет, то они налог и на воздух введут. Как в том мультфильме про Чиполлино.

  2. Мальвина

    Націоналіст хрєнов це ти пєті пизди

© 2018-2021 xn--28-6kc4byf.xn--p1ai